พบมัลแวร์ ตัวใหม่ ‘EvilGnome’ มุ่งโจมตีผู้ใช้งานลีนุกซ์

ข่าวสารไวรัส วงการไอที
ที่บอร์ดนี้

พบมัลแวร์ ตัวใหม่ ‘EvilGnome’ มุ่งโจมตีผู้ใช้งานลีนุกซ์

โพสต์โดย KasamaKP » ศุกร์ 26 ก.ค. 2019 11:28 am

นักวิจัยด้านความมั่นคงปลอดภัยจาก Intezer ได้ออกมาเปิดเผยการค้นพบ Backdoor ตัวใหม่ชื่อว่า ‘EvilGnome’ ซึ่งปลอมตัวเป็น Gnome Extension ทั้งนี้ยังมีความสามารถหลากหลาย เช่น ถ่ายภาพหน้าจอ ขโมยไฟล์ แอบบันทึกเสียงจากไมโครโฟน หรือเรียกดาวน์โหลดโมดูลอื่นเพิ่มเติม

รูปภาพ

โดยจากหลักฐานชี้ว่ามัลแวร์น่าจะอยู่ในเวอร์ชันพัฒนาเพราะยังทิ้งคอมเม้นต์ประกอบไว้มากมายจึงคาดว่าตัวที่พบบน VirusTotal นั้นอาจถูกอัปโหลดขึ้นมาโดยไม่ได้ตั้งใจ ทั้งนี้เริ่มแรกมัลแวร์จะมาในรูปแบบของ Self-extracting Archive ที่ถูกสร้างด้วย makeself ซึ่งการติดมัลแวร์สามารถเกิดขึ้นได้อย่างอัตโนมัติจาก Argument ใน Payload ที่จะไปออกคำสั่งให้รัน setup.sh ซึ่งนำไปสู่การติดตั้งมัลแวร์ไว้ที่ Path ‘ ~/.cache/gnome-software/gnome-shell-extensions/’ นั่นเอง ดังนั้นจะเห็นได้ว่ามัลแวร์ปฏิบัติตัวเหมือนเป็น Gnome Extension นั่นเอง

ขั้นตอนถัดมามัลแวร์จะรันสคิร์ปต์ที่ชื่อ gnome-shell-ext.sh เพื่อเข้าแทรกซึม Crontab ให้เช็คทุกนาทีว่า Spyware Agent ยังรันอยู่หรือไม่ จากนั้นจะมีการเรียก Agent ตัวหลักที่ชื่อ gnome-shell-ext ที่ถูกพัฒนาขึ้นด้วย C++ สไตล์ Object Oriented ด้วย ซึ่งภายใน Agent จะประกอบด้วย 5 โมดูลที่มีความสามารถต่างๆ คือ แสกนระบบเพื่อหาไฟล์ใหม่ ดักจับเสียงของไมโครโฟน บันทึกภาพหน้าจอ รับคำสั่งจากเซิร์ฟเวอร์ควบคุม และดักจับการกดคีย์บอร์ด(ยังไม่สมบูรณ์) นอกจากนี้แต่ละโมดูลจะมีการรัน Thread แยกกันและป้องกัน Race condition ด้วย Mutex ยังไม่เพียงเท่านั้นยังมีการใช้การเข้ารหัสและถอดรหัสระหว่างสื่อสารกับเซิร์ฟเวอร์ควบคุมด้วย RC5 โดยใช้คีย์คือ ‘sdg62_AS.sa$die3’

ทั้งนี้นักวิจัยได้ตั้งข้อสันนิษฐานว่าพฤติกรรมของมัลแวร์นั้นดูคล้ายกับกลุ่มคนร้ายรัสเซียที่มีนามแฝงว่า ‘Gamaredon’ สาเหตุเพราะใช้บริการโฮสต์ที่เดียวกันและพอร์ต 3436 เหมือนกันด้วย รวมถึงเทคนิคและโมดูลที่ใช้ก็คล้ายกับประวัติการโจมตีในฝั่ง Windows ของกลุ่มนี้

ผู้สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้จากบล็อกของ Intezer (มี IOCs แจกไว้ด้วย)

ที่มา : https://www.securityweek.com/evilgnome- ... inux-users และ https://www.bleepingcomputer.com/news/s ... eir-files/
ที่มา : https://www.techtalkthai.com/found-evil ... inux-user/
KasamaKP
 
โพสต์: 185
ลงทะเบียนเมื่อ: อาทิตย์ 21 พ.ค. 2017 6:35 pm

ย้อนกลับไปยัง IT News

ผู้ใช้งานขณะนี้

กำลังดูบอร์ดนี้: ไม่มีสมาชิกใหม่ และ บุคคลทั่วไป 0 ท่าน

cron